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ここ で は , 鉄道 の 安全 を 支え て いる 信号 シス テム に お いて , 安 
全 の た め に どの よう な 仕組 み が 採 用 され て いる の か を 解説 す 
る . また , 鉄道 分 野 に お ける 国際 規格 の 動向 に つい て 解説 す 
る . 機能 安全 規格 の 制定 に より , 鉄道 分 野 に お いて も 開発 プロ 
セス 順守 や 認証 に 取り 組ま な いと 国際 競争 カ を 失い か ね な い 状 
況 に な りつ つ あ る . この 流れ は , 鉄道 と いう 枠 を 超え て 重要 な 
意味 を 持つ も の で ある . (編集 部 ) 


航空 機 が 国 を 越え て 自由 に 飛行 で きる よう に , また , あ 
る 国 で 作ら れ た 自動 車 を ほか の 国 に 持っ て 行っ て も 問題 な 
く 走ら せる こと が で きる よう に , 航空 機 や 自動 車 の 技術 は 
際 的 な 枠組 み の 中 で 発展 し て きま し た . と ころ が 鉄道 は , 
ー つ の 国 の 中 で も 事業 者 が 異な る と シス テム が 異な り , 両 
方 の シス テム を 搭載 し な いと 走行 で き な い 状況 に あり ます . 
まし て や 国 が 異な る と , その 独自 性 も 顕著 で す . 

例え ば , 経済 ・ 政 治 の 統合 を 進め る 欧州 に お いて も , 国 
ご と に 異な る 鉄道 シス テム が 普及 し て いま し た . その た め 
に 欧州 連 人 和食 EU: European Union) の 将来 の た め に は 鉄 
道 技術 の 整合 が 不可 欠 の 課題 と され , 1991 年 か ら 技術 統合 
に 向け て の 取り 組み が 開始 され て いま ず 右 掲 の コラ 欧 
州 に お ける 列車 制御 シス テム 統合 計画 」 を 参照 ). 

列車 輸送 の 安全 を 確保 する 原理 や 仕組 みそ の も の は それ 
ほど 違う わけ で は な い の で す が , 具体 化す る 段階 で 多様 な 
シス テム が 生み 出さ れ て きた の で す . 技術 の 共用 や 標準 化 
を 求め る 声 も 高まり つつ あり ます . 国際 化 の 波 の 中 で , 既 
に 各国 が 独自 に 構築 し て きた 技術 に も 国際 標準 を 定め よう 
と いう 議論 が な され る よう に な り ま し た . 


國 


鉄道 分 野 に お ける 


安全 確保 の 仕組 み と 国 隊 規 宿 


信号 シス テム に 見 る フェ イル セー フ の 思想 と 
規格 が も た ら す 国際 競争 へ の 影響 


ここ で は , 鉄道 の 安全 を 支え る 保安 シス テム を 中 心 に , 
その 安全 の 仕組 み を 紹介 し ます . 併せ て , 近年 の 情報 化 技 
術 の 中 で 安全 性 を どの よう に 織り 込ん で きた の か , 国際 規 
格 策定 の 流れ は どの よう な も の な の か を , それ に 対す る わ 
が 国 の 取り 組み を 交え て 説明 し ます . 


ン . 


1. 「 信 号 シ ステ ム 」 で 安全 を 確保 する 
鉄道 の 安全 に は 多く の 要素 が 絡み 合っ て いま す . 鉄道 は 


車両 , 軌道 , 構造 物 , 電力 シス テム な ど 多 く の シ ステ ム か 
ら 構成 され て いま す が , 規模 が 大 きく , し か も 広域 に 展開 
され て いま す . この た め , 各 構 成 要 素 に 応じ た 専門 部 局 が 
設置 され , 個々 の 部 局 が それ ぞ れ 責任 を も っ て 装置 や シス 
テム の 維持 ・ 運 用 に 努め る こと で , 鉄道 シス テム と し て の 
安全 が 維持 され て いま す . 

鉄道 に は ,「 レー ル に 拘束 され て 走行 する 」 と いう 特有 の 
条件 が あり ます . 列車 は 危険 を 察知 し て も , すぐ に は 止ま 
れ ま せん . 在 来 線 で は 600m, 新幹線 で は 3km 近く の 距離 
が か か る の で す . その た め , 列車 同士 の 衝突 や 追突 と いっ 
た 事故 を 防ぐ に は , 独特 の 仕組 み が 必 要 と な り ま す . その 
よう な 保安 制御 を 担当 する 安全 シス テム を , 鉄道 で ば 信 
号 シ ステ ム 」 と 呼ん を で いま す . その 概要 を 見 て み ま し ょ う 


@⑯ 一 つの 列車 し か 走ら せな い 

列車 同士 の 衝突 や 追突 を 防止 する に は , 一 つの 列車 し か 
走ら な いよ うに すれ ば よい の で す . し か し , 線 区 に 一 列車 
で は 能率 が 悪い の で , 線 区 を いく つか の 区 間 に 分 割 し , そ 


信号 シス テム , 軌道 回 路 , フェ イル セー フ , 電子 連動 装置 , IEC 61508, IEC 62278, IEC 62279, RAMS, 


| 園 
ーー ゴー 機能 安全 , ISO 9000, 国際 競争 
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組み 込み シス テム o 幅 頼 性 と 安全 ' 性 を 高め る 


欧州 に お ける 列車 制御 シス テム 
続 合計 画 


欧州 で は , 国境 を 越え て 運転 され る 都市 間 高速 鉄道 を 相互 に 
直通 運転 で きる よう な 鉄道 シス テム の 開発 を 進め て いま す . 
1986 年 , 欧州 経済 共同 父 EEC: European Economic Com- 
munity ) 加盟 の 12 カ 国 と スイ ス , オー スト リア を 加え た 14 カ 
国 が , 21 世 紀 に 向け ガ ヨー ロッ パ 高 速 鉄道 計画 」 を 定め まし 

た . さら に 1991 年 に は ヨー ロッ パ 鉄 道 共同 保 the Community 
> of European Railway) を 設立 し , 列車 制御 技術 の 共通 化 を 目 
図 1 閉塞 の 仕組 み 指し 丸 ヨー ロッ パ 統 合 列車 制御 シス テム ( ETCS: the 


線 区 を いく つか の 区 間 に 分 割 し , 一 つの 区 間 内 に は 一 つの 列車 し か 走行 で き European Tram Control System)」 の 機能 と シス テム , イン タ 
な いよ うに する . この 仕組 み を 閉塞 と 呼ぶ. 閉塞 を どの よう に 分 割 す る か は 二 

列車 運転 能率 に 関係 し て く る. 首都 較 で は 200m ぐ らい の 間隔 に 分 割 し て 間 2 

いる が , 地方 で は 1km 以上 の 間隔 で 分 割 し た 区 間 も あ る . 


COLUMN 


の 区 間 内 に は 一 つの 列車 し か 走行 で き な い よう に し ます 電 端 の 検知 器 に 電流 が 送ら れる と | 列車 な し 」 を 検知 し ます 
( 図 1). この 仕組 み を 閉塞 と 呼び ます . 閉塞 区 間 の 入り 品 ( 図 4 a)). そこ に 列車 が 進入 する と , 2 本 の レー ル は 車軸 
に は 列車 が 入っ て いる か どう か を 表す 信号 を 設備 し ます . に よっ て 短絡 され ます . する と , 検知 器 に 送ら れる 電流 は 
列車 が 入っ て いれ ば 赤 信 号 に し , 後続 列車 の 進入 を 禁止 し 減少 する ので, 「 列車 な し 」 が 検知 で きま せん ( 図 2 b)). 
ます . また , 赤 信 号 を 見 て も 止ま りき れ な いと 困る の で , そこ に 列車 が 入っ て いく こと は 危険 な の で , その 入り 口 の 
その 一 つ 手 前 の 信号 に は 黄色 灯 を つけ て , 次 が 赤 信 号 で あ 信号 機 を 赤 に し ます . 
る こと を 伝え ます . この 軌道 回 路 で は , 停電 し た り , 電線 が 外れ た り , レー 
ル が 破断 し た りす る と , 検知 器 へ の 電流 供給 が 遮断 され ま 
人 @ 列車 を 検知 し て 安全 を 守る す . 電流 が 通電 され な けれ ば 列車 あり 」 と 同じ な の で , 停 
列車 が 閉塞 区 間 に 入 っ て いる か どう か を 知る た め に は , IK 赤 ) 信 号 が 表示 され ます . 
レー ル を 使っ 妹 軌道 回 路 」 と いう 仕掛 けが 使わ れ ま す . 有 これ に 対し , 図 3 の よう な 回 路 で 列車 検知 を 行っ た ら ど 
名 な Wiliam Robinson 氏 が 今 か ら 100 年 以上 も 前 1872 うな る で し ょ うか . 列車 が その 区 間 に 入 れ ば , 車軸 を 通っ 
年 ) に 発明 し た も の で す が , いま だ に 使わ れ て いま す . て 通電 され , セン サ が 動作 する の で , この 方 法 で も 列車 は 
軌道 回 路 の 仕組 み を 図 2 に 示し ます . レー ル を 使っ て 受 検知 で きま す . し か し , 万 一 停電 し て いた り , 電線 が 外れ 


( a) 列車 な し の と き に は 検知 器 が 動作 図 ( a) 列車 な し の と き は 検知 器 が 動作 し な い 較 
絶縁 列車 図 絶縁 凶 
= e 検知 回 OFF 
ーー 
( b) 列車 が 入る と 車軸 で レー ル を 短絡 図 ( b) 列車 が 入る と 検知 器 が 動作 図 
図 2 フェ イル セー フ 型 の 軌道 回 路 図 3 非 フ ェ イ ル セ ー フ 型 の 軌道 回 路 
検知 器 が 動作 すれ ば 列車 な し 」. 電源 断 や 配線 断 の と き に ば 列車 あり 」 に 検知 器 が 動作 すれ ば 列車 あり 」. 電源 断 や 配線 断 の と き に は 列車 が 検知 で き 
な る . な い の で , 危険 な 状態 に な る . 
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て いた り し た と き に は , 列車 の 進入 を 検知 で きま せん . こ 
の と き に は , 入り 口 の 信号 機 は 進行 青 ) の まま に な り , 後 
続 列車 が 閉塞 区 間 に 入 る こと を 阻止 で き な い の で , 危険 な 
に な り ま す . 
図 2 と 図 3 に お ける 故障 は , 信頼 性 上 は 同じ 「 故障 」 と し 
一 に 扱わ れ ま す が , 安全 性 上 は 故障 時 に 安全 側 に 動作 
する (フェ イル セー フ ) か どう か で 区 別 さ れ ま す . 


⑯ フェ イル セー フ と と も に 可用性 も 確保 する 

信号 シス テム は 鉄道 の 安全 を 守る 要 で あり , フェ イル セ 
ー フ の 仕組 み が あ ら ゆ る 回 路 に 組み 込ま れ て いま す . 例え 
ば , コン デン サ は 抵抗 と 対 で 用 いて 一 定 の 時 間 時 素 と い 
う ) を 確保 し た り , 異常 発振 防 目 に 用 いら れる こと が あり 
ます . し か し , コン デン サ の リ 一 ド 線 が 断線 し た 場合 に は , 
時 素 を 確保 で き な い 無 時 素 ) と か 異常 発振 を 防止 で き な い 
と いっ た 危険 側 の 事態 を 引き 起こ し ます . この た め , その 
よう な 場所 に は 4 端子 (コン デン サ を 用 い , 断線 時 に は 電 


十 コン デン サ 例 


( b) フェ イル セー フ 回 路 図 


図 4 4 端子 コン デン サ を 用 いた フェ イル セー フ 回 路 
4 端子 コン デン サ を 用 いて , コン デン サ の リー ド 線 が 断線 し た と き は 電源 供 
給 を 断ち , 危険 側 の 動作 を 防止 する . 


we 上 沈 日 も また 信号 機 故 障 ? 


「 信号 機 の トラ ブル に より , 〇 x 線 は 上 下線 と も 運転 を 停止 し て 
いま す 」 な ど と いう 交通 情報 を 時 こす る こと が あり ます .「 今日 も ま 
0 1 うう 方 も 多い で し ょ う . し か し , 信号 機 が そん 


し ょ っ ちゅ う 故 障 し て いる わけ で は あり ませ ん . 
1 
が 点灯 され る に は , 列車 の セン サ や 転 て つ 機 と いっ た 現場 の 機器 は 
も ちろ ん の こと , 連動 装置 や その 上 位 に 位置 する 進路 制御 装置 な ど 
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者 は ,「 信号 機 故 障 」 に 


源 供給 を 断ち , 回 路 は 故障 と な っ て も 無 時 素 や 異常 発振 に 
よる 危険 側 の 動作 を 防止 する 回 路 に し まず 図 4. この 回 
路 構成 も フェ イル セー フ 技術 その も の で ず 下 掲 の コラ ム 
「 今日 も また 信号 機 故 障 ? 」 を 参照 ). 

た だ , フェ イル セー フ と は いえ , 故障 する と 列車 を 運転 
で き な く な る の で , シス テム と し て の 可用性 の 確保 も 重要 
で す . 新幹線 の 自動 列車 制御 装置 ATC: 
control) は この 安全 性 と 可用性 の 両方 を 満足 させ る た め に 
フェ イル セー フ な シス テム を 3 重 系 で 構成 し て いま す . 万 
が 一 , 一 つの 系 が 安全 側 に 停止 し た 場合 で も , 残り の 二 つ 
の 系 で 運転 を 継続 する よう に 配慮 され て いま す . 


automatic traim 


@ 人 間 の ミス を 機能 で 補う 

閉塞 と 信号 表示 に より , 衝突 や 追突 を 防止 する 仕組 み は 
そろ っ た わけ で す が , 信号 に 従わ な いで 運転 する と , と ん 
で も な い 事 故 が 引き 起こ され ます . 過去 に も 三河 島 事 故 な 
ど , 信号 機 を 見 誤っ た こと に よる 重大 事故 が 多発 し まし た . 
や は り , 運転 士 の 注意 力 だ け に 依存 し て いて は 万 全 と は 言 
えな い の で す . この た め , 運転 士 が 停止 信号 を 見 落と すこ 
と が な いよ うに , 停止 信号 で ある こと を 知ら せる 仕組 み を 
考え まし た . 自動 列車 停止 装置 ATS: 
stop) の 誕生 で す . 

まず 在 来 線 の 列車 の ブレ ー キ 距離 を 考慮 し , 停止 信号 機 
の 手前 の 地点 に , 停止 信号 を 伝え る 装置 を 設置 し まし た 
( 図 5. こ 国人 呈 を きら 。 時 GR プー 
音 が 鳴り ます . これ に 対し , 運転 士 は ハン ドル を ブレ ー キ 
位置 に し て , 確認 ボタ ン を 押す こと に な っ て いま これ 
を | 確認 扱い 」 と いう ). 運転 填 が 確認 扱い を し な いで いる 
と 5 秒 後に 非常 プレー キ が 作動 し , 列車 は 停止 し ます . 停 
止 信 号 を 伝え る 地上 装置 は , ブレ ー キ 距離 600m) に 5 秒 
間 の 走行 距離 を 加え た 地点 に 設置 され ます . 


automatic train 


が 正 外 E し て いる こと か 必要 で す . どこ か に 故障 が ある と フェ 
イル セー フ に 働く の で , 信号 機 が 停止 現 示 赤 ) の まま に な っ て し 
まう の で す . 

信号 機 が 赤 に な りっぱ な し と いう 状況 は , 一 見 信号 機 そ の も の が 
故障 し た よう に 見 えま す が , 実は 奥 が 深い の で す . そし て 鉄道 事業 
結び つく よう な 機器 障害 が 発生 し な いよ う 
に , シス テム の 冗長 化 や 保全 に 力 を 入れ て いる の で す . 
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この ATS は 1960 年 代 半 ば に 全国 の 国鉄 線 区 に 設備 され , 
事故 防止 に 大 きく 貢献 し まし た . し か し , 確認 扱い を し た 
後 で 失念 し て 追突 する よう な 事故 が あっ た た め , 今 で は , 
さま ざま な 改良 が 施さ れ た ATS が 用 いら れ て いま す . 

2005 年 4 月 25 日 に 発生 し た 福知山 線 の 列車 事故 は , 乗務 
員 の 常軌 を 逸し た 運転 が 原因 で ある と し て 問題 に な か なり まし 
た が , その 事故 を 受け て , 制限 速度 を 超え た 運転 を 防止 す 
る 機能 の 追加 が ATS に 求め られ て いま す . 

ATS は 人 間 の 運転 操作 の 危険 性 を 事前 に 検知 し て 安全 を 
守る 装置 で す が , ブレ ー キ 扱い その も の を 機械 で 自動 的 に 
行う 自動 列車 制御 装置 ATC) も , 新幹線 や 一 部 の 線 区 に 
導入 され て いま す . 


⑱ フェ イル セー フ な 現場 の 装置 が 安全 を 確保 

信号 シス テム に は 列車 の 間隔 制御 の ほか , 重要 な 保安 制 
御 機能 が あり ます . その 一 つ は , 単線 区 間 に お ける 運転 方 
向 の 制御 で す . 両 駅 か ら 列車 が 出発 し て し まう と 途中 で 正 
面 笑 突 し て し まう ので, 両 駅 の 信号 機 が 同時 に 出発 許可 を 
出せ な いよ うな 仕組 み が 設け られ て いま す . これ を 単線 閑 
塞 と いい ます . 

また , 駅 構内 の 列車 運転 の 安全 確保 も 重要 な 機能 で す . 
列車 ダイ ヤ に 従っ て 列車 を 所 定 の 番線 に 進行 させ る た め に 
は , その 進路 中 に ほか の 車両 が な いこ と , ほか の 列車 が 進 


(wellN 目 中 央 の コン ピュ ー タ が 安全 を 守る ? 


在 来 線 で 列車 事故 が 起き た と き な ど に , 新幹線 の 安全 性 と 対比 す 
る 形 ず 新幹線 で は 中 央 の コン ピュ ー タ が すべ て の 列車 を 管理 し て 
いる か ら 安全 性 が 高い 」 と いっ た 議論 が な され る こと が あり ます . 
確か に , 新幹線 の 運行 管理 シス テム ( COMTRAC: Compu 
aided Traffic Control System) な ど は , 列車 の 動き を すべ て 把 
し て いま す . し か し , 実は その こと と 安全 性 は 別 問題 な の で す . 

新幹線 と いえ ども , 列車 の 安全 は 軌道 回 路 列車 セン サ ) と ATC, 
駅 構内 の 連動 装置 に よっ て 保 た れ て いま す . これ ら の 装置 は すべ て 
現場 に あり , 現場 の 情報 を 用 いて 制御 処理 を 行っ て いま ず 図 A). 
COMTRAC の 中 央 コン ピュ ー タ は , ダイ ヤ に 従っ 駅 構内 の 何 
番線 に 列車 を 入れ る か 」 と いう 進路 の 設定 要求 を 行う だ け で す . そ 
れ を 受け て , 駅 の 連動 装置 が 進路 設定 制御 を 行い ます . し か も , 万 
一 進路 を 誤っ た 番線 に 制御 し て し まっ た と し て も , 駅 構内 の 連動 装 
置 は , すべ て の 安全 条件 を チェ ッ ク し て 制御 され た 進路 を 構成 する 
た め , 安全 上 は 全く 問題 あり ませ ん . も ちろ ん , 中 央 の コン ピュ ー 
タ が ATC を 直接 制御 する わけ で も あり ませ ん . 


警報 ブザー 較 


| 5 秒間 確認 図 
| 扱い を 待つ 区 


距 上 正信 


ab 一 Ei 一 
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ATS 地 上 5 秒間 の 図 " ブレ ー キ 距離 600m) 較 

ん TS 和 5 

図 5 基本 的 な 自動 列車 停止 装置 ATS) の 仕組 み 

停止 信号 の 手前 の 地点 に ATS 地上 設備 を 設置 する . この 装置 が 停止 信号 を 

伝え る と , 運転 席 で ブザー 音 が 鳴る . 5 秒 以内 に ブレ ー キ 操作 と 確認 扱い を 

し な いと 非常 ブレ ー キ が 作動 し て , 列車 は 停止 信号 の 手前 で 停止 する . 


入 し て こない こと を チェ ッ ク し た 上 で , 進路 中 に ある 転 て 
つ 機 を 進路 の 方 向 に 転換 させ る 必要 が あり ます . この よう 
な 制御 と 確認 を 行い な が ら 進路 の 設定 や 復 付 解除 ) を 行う 
装置 が 連動 装置 で す . 

ここ まで , 閉塞 の 仕組 みや 軌道 回 路 , ATS, ATC, 連 
動 装 置 な ど , 信号 シス テム を 構成 する 装置 を 説明 し て きま 
し た . これ ら は いずれ も 現場 に ある 装置 現場 機器 ) で あ 
り , フェ イル セー フ を 第 一 と し て 設計 され て いま ず 下 掲 
の コラ バ 中 央 の コン ピュ ー タ が 安全 を 守る ? 」 を 参照). 
例え ば 連動 装置 は . さま ざま な 条件 を チェ ッ ク し て 進路 を 


nil 


この よう に , 安全 制御 は 現場 機器 で 行わ れ て いま す . その 点 で 
は , 在 来 線 も 新幹線 も 差 は あり ませ ん . 


連動 装置 凶 


ーー デ テ 


軌道 回 路 較 mーー 


= 


図 A 現場 の 信号 機器 と セン ター 運行 管理 シス テム と の 関係 
CTQ Centralized Traffic Control) 装置 を 介し て 指令 と 現場 が 接続 され , 


動 装置 が 核 と な っ て 現場 機器 を 制御 する . 
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設定 し ます が , その チェ ッ ク は リレー 回 路 に よる シー ケン 
ス 制 御 で 行わ れ て きま し た . ここ で 使う リレー は , 故障 し 
た と き に は 0 側 に 誤る と いう , 特殊 な 信号 用 の リレー で す . 
万 が 一 回 路 に 故障 が 発生 し て も , 必ず 赤 信 号 に な る よう に 

設計 され て いる の で す . 


2. コン ピュ ー タ 技術 の 導入 | 


と ころ が , この 分 野 に コン ピュ ー タ 技術 が 導入 され る よ 
うに な り ま し た . コン ピュ ー タ の 故障 モー ド は さま ざま で 
す . これ まで の 信号 機器 と 同じ よう に フェ イル セー フ に す 
る に は , すべ て の 故障 モー ド に 対し て 安全 側 に 動作 する よ 
うに コン ピュ ー タ を 構成 する 必要 が あり ます . 

また , コン ピュ ー タ は ソフ トウ ェ ア に よっ て 制御 する わ 
け で す が , ソフ トウ ェ ア に は バグ が つき も の で す . コン ピ 
ュー タ を フェ イル セー フ に 作れ た と し て も , ソフ トウェア 
に 誤り が あれ ば 致命 的 で す . いか に し て バグ の な い ソ フト 
ウェ ア を 作る の か ? ある い は ソフ トウ ェ ア の 誤り が 危険 側 
に 至ら な いよ うに する の か ? これ ら を 解決 し な いこ と に は , 
コン ピュ ー タ 制御 は 実用 化 で きま せん . 


⑱ フェ イル セー フ な 電子 連動 装置 の 登場 

コン ピュ ー タ の 故障 に 対す る 対策 と し て は , 回 路 素子 
多重 系 に 1 DP 
が 採ら れ ま し た . 故障 が 検出 され た ら , いち 早く 安全 側 に 
シス テム を 居 移 させ る こと で , 故障 に 対応 で きま す . 

1985 年 , わが 国 の 鉄道 に フェ イル セー フ な コン ピュ ー 
タ ・ システム で ある 電子 連動 装置 が 登場 し , 駅 構内 の 信号 
機器 を 制御 し まし だ 図 6). 電子 連動 装置 は 3 重 系 構成 を 


採っ て お り , 三 つ の CPU の 信号 線 を マシ ン ・ サ イク ル ご 
多数 決 回 路 較 

Paz2 2 

Paz2 g 


図 6 電子 連動 装置 SMILE の ハー ドウ ェ ア 構 成 
三 つ の CPU の 信号 線 を マシ ン ・ サ イク ル ご と に 比較 し , その 値 を バス に 挿 
入 さ れ た 多数 決 回 路 に より 訂正 し て 使用 する . 
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と に 比較 照合 する こと で , 故障 を 診断 し て いま し た . 


⑱ ソフ トウ ェ ア は シン グル ・ ス レッ ド て 安全 を 確保 
組み 込み シス テム は , リア ル タ イ ム OS の も と で さま ざ 
まな 状況 の 変化 に 応じ て 処理 で きる よう に , マル チタ スク 
構成 を 採る も の が 少な く あり ませ ん . 外部 イベ ント の 変化 
を 割り 込み と し て 利用 し , 最 優先 され る タス ク に 切り 替え 

て リア ル タ イ ム 性 を 確保 し ます . これ に 対し , 電子 連動 装 
置 の ソフ トウ ェ ア は , 割り 込み に 応じ て タス ク を 切り 替え 
る の で は な く , 0 だれ の 時 球 つなぎ に し て , 次 々 
と シー ケン シャ ル に 実行 す が シン グル ・ ス レッ ド 方 式 」 で 
動作 し て いま す . 

マル チタ スク 構成 は 確か に リア ル タ イ ム OS の 神髄 で , 
高 機能 な 組み 込み シス テム に な く て は な ら な いも の で す . 
一 方 で , タス ク が 複雑 に 切り 替わる こと で 思い が け な い バ 
グ を 誘発 し か ね な いこ と も 事実 で す . シン グル ・ ス レッ ド 
方 式 で は 各 タ スク の 動き 方 が 一 義 に 定まっ て いる の で , ク 
リティ カル な タス ク の 切り 替え タイ ミン グ で 発生 する バグ 
も 回 避 で きる し , タス ク の 誤っ た 動き を 検出 する の も 容易 
窟 す 。 

その ほか , ソフ トウェア を 以下 の よう な 仕様 と し て , 安 
全 性 に 配慮 し て いま す . 

1) 割り 込み を 使わ な い 

タス ク の 動作 中 に は , 割り 込み を 受け 付け ませ ん . 一 連 
の 処理 の 最終 タス クタ スレ ッ ド の 終わ り の タス ク ) が 終わ っ 
て ほか の スレ ッ ド の 先頭 タス ク に 戻る 際 に , 割り 込み 要因 
を 分 析 し , 次 の スレ ッ ド に お いて , 対応 する 処理 を 行い 
表 。 
2) 周期 的 に 処理 を 行う 

イベ ント の 発生 に 応じ て 必要 な 処理 を 行う の で は な く , 
シン グル ・ ス レッ ド で 繰り 返し 処理 する の で , 同じ 処理 が 
周期 的 に 行わ れる こと に な り ま す . 従っ て , 出力 デー タ が 
常に リフ レッ シュ され る こと に な り , 出力 ポー ト の 値 が 万 
が 一 ノイ ズ な ど に よっ て 書き 換 わ っ て も , 次 の サイ クル で 
訂正 され る こと に な り ま す . 
3) タス ク 間 通信 で 危険 側 の 情報 を 厳重 に 検査 する 

タス ク 間 で 処理 デー タ を 交換 する と き , 危険 側 に 遷移 さ 
せる よう な 制御 に つなが る 情報 で あれ ば , 受け 入れ 検査 を 
厳重 に 行い ます . 安全 側 に 遷移 させ る よう な 情報 で あれ ば 
その まま 使用 し ます . 


組み 込み シス テム o 幅 頼 性 と 安全 ' 性 を 高め る 


4) 危険 側 の 入力 変化 を 診断 する 

入力 値 の 変化 を その まま 受け 入れ る の で な く , 安全 性 に 
配慮 し た 処理 が 組み 込ま れ て いま す . 例 と し て , 線路 上 に 
列車 が 存在 する か どう か に つい て の 情報 在線 情報 ) を 考え 
ます . 入力 値 が 列車 あり 」 に 変化 し た 場合 は , 停止 信号 に 
つなが る 処理 が 行わ れる の で 安全 側 で す . 従っ て , この 変 
化 は 素直 に 受け 入れ ます . 入力 値 が 列車 な し 」 に 変化 し た 
場合 は ,「 同じ 情報 が 何 回 も 入力 され る か 」 と いっ た チェ ッ 
ク を し て か ら 使 うこ と で , 万 全 を 期し ます . 
5) 入力 変化 の 合理 性 を 診断 する 

入力 値 の 変化 に 対し て は , 4) の よう な 非対称 診断 と は 別 
に ,「 その よう な 変化 が あり 得る も の か どう か 」 を 診断 し た 
上 で 使う よう に 配慮 し て いま す . 例え ば , 列車 の 動き を ト 
レー ス し , 入力 情報 の 変化 に つい て 合理 性 を 診断 し ます . 

この よう な 合理 性 診断 は , リレー・ シ ー ケ ンス 制御 の 時 
代 に は 困難 で し た . か つて , レー ル が 汚れ て いて 列車 が 検 
知 で き な か っ た た め ,「 その 区 間 に は 列車 が 存在 し な い 」 と 
認識 され て 事故 を 引き 起こ し た こと も あり まし た . し か し , 
列車 を 追跡 し て いれ ば , ここ で 列車 が 消え る は ず が な いと 
いう こと が 分 か る の で , その 情報 を 誤り と する こと が で き 
ます . これ な ど は , コン ピュ ー タ の 情報 処理 機能 を 利用 す 
る こと で 実現 し た 処理 で ある と 言え ます . 

この よう に , 安全 性 を 確保 する た め に 独特 な 手法 が 組み 
込ま れ ま し た . また , 連動 機能 は 駅 の 構内 配線 に 応じ て 変 
わり ます . 基本 戦略 と し て 処理 プロ グラ ム は 各駅 共通 と し , 
異な る 配線 条件 な ど は デー タ と し て 与え る 構造 に する 方 式 
が 採ら れ ま し た . 

また , 一 般 的 な 高 信頼 化 手 法 も 採用 され まし た . バグ そ 
の も の の 発生 確率 を 低く する た め , メー カ の 中 に ば 各 プ ロ 
グラ ム ・ モ ジュ ー 水 タス ク ) を 100 行 以下 と する 」 と いっ た 
基準 や , 使用 する コン パイ ラ に 制限 を 付け る な ど と いっ た 
自主 規定 を も っ て 臨む お と ころ も あり まし た . 


(ーー 


人 @ 安全 性 確保 の 手引 き と 国 際 規 格 

信号 シス テム へ の コン ピュ ー タ 導入 は , スム ー ズ に 進ん 
だ わけ で は あり ませ ん . 既存 の リレー・ シ ー ケ ンス に よる 
機器 と 同等 以上 の 安全 性 を 立証 する こと が 必須 の 要件 で し 
た . その た め に , 鉄道 総合 技術 研究 所 は , 鉄道 信号 の マイ 
クロ エレ クト ロニ クス 化 の 開発 の より どこ ろ と な る 指針 を 
1983 年 の 段階 で 作成 し , コン ピュ ー タ を 用 いた シス テム に 
お ける 安全 性 確保 に 対す る 考え 方 を 明確 に し まし 図 7). 
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図 7 信号 保安 装置 へ の マイ クロ エレ クト ロニ クス 導入 指針 
既存 の フェ イル セー フ 技術 を , コン ピュ ー タ 技術 に 置換 する た め の よ り ど こ 
ろ と し て 利用 され た . 


さら に , その 妥当 性 を 立証 する た め に , 徹底 し た フィ ー ル 
ド 試験 を 実施 し まし た . 電子 連動 装置 の 実用 1 号機 は 1985 
年 3 月 に 東 神奈 川 駅 で 実 制御 を 開始 し まし た が , その 後 , 
電子 閉塞 装置 , 電子 踏切 装置 , 新幹線 ATC 車 上 装置 と い 
う よ う に , 次 々 と コン ピュ ー タ 制御 式 の 信号 装置 が 開発 さ 
れ ま す . 


ソフ トウ ェ ア ・ シ ステ ム の 
安室 技術 指針 と 国際 規格 
電子 連動 装置 や 電子 閉塞 装置 の 開発 で 生み 出さ れ た 各種 
の 安全 性 技術 は デー タベース 化 さ れ , 安全 性 の 指針 と と も 
に , 以後 の 技術 開発 で も 積極 的 に 利用 され まし た . この よ 


い 


中 
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うな 技術 開発 の 流れ の 中 で , 鉄道 総合 研究 所 は , ソフ トウ 
ェ ア を 使っ た 安全 関連 制御 機器 に 関す る 規格 を 策定 し よう 
と いう 国際 的 な 動向 に 早く か ら 着目 し て いま し た . そし て , 
1994 年 の 段階 で 委員 会 を 組織 し , 国際 規格 IEC 150% 現 
IEC 61508) の 審議 の 動向 を 踏ま ほえ , その 規格 の 精神 を 先取 
り し 安全 性 技術 指針 」 の 検討 を 開始 し まし た . これ は 
電子 連動 装置 の 実用 化 か ら 10 年 を 経て 蓄積 され た 安全 性 技 
術 を も と に , これ か ら の 保安 制御 シス テム 開発 に 利用 で き 
る 指針 を 作成 し よう と し た も の で す . 

委員 会 は 1995 年 列車 保安 制御 シス テム の 安全 性 技術 
指針 」 を 作成 し まし た . その 技術 指針 は 審議 中 の 国際 規格 
の 精神 に 沿う 形 で 作成 され まし た . すなわち , 事前 安全 性 
解析 の 段階 で シス テム の リス ク 解 析 を 実施 する こと や , 達 
成す る べき 安全 度 水 活 SIL : safety integrity level), 実 
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児 する べき 保安 機能 な ど を 明確 に する こと を 求め て いま す . 
また , 各 製 造 プ ロ セ ス に お いて 厳格 に 安全 性 を 織り 込む 点 
で も , 規格 の 精神 を 踏襲 し て いま す . 鉄道 信号 の 世界 リ 
スク 」 と いう 概念 が 初め て 登場 し た の も , この 技術 指針 で 
だ 

と ころ で , この 技術 指針 や IEC 61508 の 思想 に の っ と っ 
て シス テム 開発 を 行う と , これ まで 行わ れ て きた 開発 作業 
に 加え て , 審査 や 文書 ド キュ メン ト ) 整備 な どの 作業 が 必 
要 に な り ま す . この た め , 製造 コス ト の 増加 に つなが る と 
か , 指針 の 中 で 利用 可能 な 安全 性 技術 を 公開 する こと は 
企業 の ノウ ハウ を オー プン に する こと に な り 好ま し く な い 
と いっ た 耕 定 的 な 意見 も 多数 あり まし た . 

一 方 で , この 指針 の 意図 を 積極 的 に と ら え , 新しい 電子 
連動 装置 の 開発 に 際 し , 要求 され る プロ セス に 準拠 し て 実 
践 し て みよ うと いう 試み も 行わ れ ま し た . その 結果 は 学会 
論文 と し て 発表 され まし た が , 「 厳格 な プロ セス の 実行 に 
より , バグ 件 数 の 削減 や 収束 の 速 さか ら 結局 生産 性 も 向上 
し た 」 と の 見 解 が 披露 され て いま す . 


@⑯ IEC 61508 の 制定 と 鉄道 用 規格 

鉄道 に 限ら ず , 安全 は さま ざま な 産業 領域 - お いて も 重 
要 な 課題 で す . それ ぞ れ の 産業 領域 で , 安全 を 守る た め の 
フェ イル セー フ 技 術 が 生み 出さ れ て きま し た . し か し , フ 
ェ イ ル セ ー フ 技術 を 議論 し , 共通 の 土壌 を 形成 し よう と し 
て も , 議論 が か み 合わ な いと いう 状況 が 続き まし た . 

例え ば 鉄道 で は , 機器 や 回 路 け た と え 故 障 し て も 安全 
側 に 動作 する 」 よ うに 構成 する こと を フェ イル セー フ と し 
て , その た め の 技 術 を 構築 し て き て いま す . 一 方 , 航空 機 
で は , 機器 や 装置 の 故障 に よっ て 機能 が 停止 する と 飛行 を 
継続 で き な い の で , 何と か し て 機能 を 維持 し よう と する 技 
術 を フェ イル セー フ と し て き て いま す . この よう に 定義 が 
異な っ て いる 領域 間 で , 技術 上 の 接点 を 求め る の が 容易 で 


な いこ と は 明らか で す . 

し か し , リス ク と いう 尺度 を 用 い , その リス ク を 軽減 す 
る た め の 努 力 と いう 視点 で と ら え る と , あら ゆる 産業 界 の 
安全 性 向上 の た め の 営 み が 同 一 と な り ま す . し か も , コン 
ピュ ー タ 制御 と いう 共通 の 技術 が 普及 する こと に より , リ 
スク 軽減 の た め の 技術 も 共通 に 議論 で きる よう に な り ま 
7 

この よう な 状況 を 背景 と し て , 機能 安全 規格 IEC 61508」 
が 2000 年 に 制定 され まし た . IEC 61508 は 産業 界 に 共通 の 
汎用 規格 で あり , この 規格 を も と に 個別 分 野 の 規格 が 展開 
され る こと を 想定 し て いま す . 鉄道 分 野 で は , 欧州 規格 
( European Standard) を ベー ス に 審議 し た 結果 , 2002 年 
に IEC 62278 と IEC 62279 が 制定 され まし が 表 1). 

IEC 62278 は , 信頼 性 reliabihity), 可 用 憶 avalabilty), 
保守 翌 maintanabihity ), 安全 怪 safety) を 確保 する た め 
の 実施 事項 を 規定 し て いま す . これ ら の 頭 文字 を と っ て 
「 RAMS の 規格 」 と も 呼ば t れ て いま す . また , ソフ ト ウェア 
に 関す る 規格 は , IEC 62279 と いう 別 の 規格 と し て 制定 さ 
れ ま し た. 

な お , EN 50129 は , 安全 度 水準 の 決定 方 法 に つい て 言及 
し て いま す . 一 般 的 な リス ク 低 減 プ ロ セ ス と し て , 開発 
の リス ク 解 析 に よる リス ク の 水準 と 許容 で きる リス ク 水 準 , 
安全 性 技術 を 導入 し た 後 の 残存 リス ク の 関係 は 図 8 の よう 
に 表現 で きま す . 安全 度 水準 は , 現 太 リス ク 解 析 時 ) の リ 
スク 水準 と 許容 で きる リス ク 水 準 の ギャ ッ プ の 大 き さ に よ 
っ て 決ま る と され て いま す . また , 定め よう が な い 場 合 の 
参考 事例 と し て , 許容 で きる 失敗 確率 THR : tolerable 
hazard rate) に 基づい て SIL を 決定 する 方 法 が 示さ れ て い 
ます 往 1. 


吉 


注 1: 許容 で きる 失敗 確率 と SIL の 対応 を 示し た 表 は , IEC 61508 で 規定 さ 
れ て いる 目標 機能 失敗 尺度 連続 モー ド 運用 の 場合 ) と 同じ も の で あ 
る . 目標 機能 失敗 尺度 に つい て は , 本 特集 第 1 章 の 表 2 を 参照 の こと . 


表 1 ベー ス と な っ た 
鉄道 分 野 に お ける 機能 規格 番号 表題 欧州 規格 機 要 
安全 の 国際 規格 


IEC 62278 
( 2002 年 に 策定 ) 


Railway Applications - Specification and 
demonstration of reliability, availability 
maintainability and safety( RA MS) 


機能 安全 規格 IEC 61508」 の 鉄道 


NZ 分 野 向け の サブ 規格 


IEC 62279 
( 2002 年 に 策定 ) 


Railway Applications - Communications, 
signalling and processing systems - Software 
for railway control and protection systems 


IEC 62278 と 同時 に 策定 され た , 


EN 50128 ソフ トウ ェ ア に 関す る 規格 


IEC 62425 
( 審議 中 ) 
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Railway Applications - Safety related 
electronic systems for signalling safety case) |( 1998 年 に 策定 ) 


信号 シス テム の 認証 と 受け 入れ に 
必要 な 安全 性 要件 と , その 文書 管 
理 に つい て 述べ た 規格 


EN 50129 


組み 込み シス テム o 幅 頼 性 と 安全 ' 性 を 高め る 


人 @ 国際 規格 適用 の ケー ス ・ ス タデ イィ か ら の 見 解 

筆者 は ケー ス ・ ス タデ ィ と し て , RAMS の 規格 の 作業 フ 
ロー に 従っ て 安全 性 評価 を 実施 し て みた こと が あり ます . 
対象 と し た 装置 は , 安全 上 重要 バイ タル ) な 処理 機構 と , 
パソ コン で 行う ノン バイ タル な 処理 部 か ら 構成 され る も の 
で し た . 評価 作業 は 委員 会 形式 で 行わ れ ま し た が , その 際 
こも リス ク 解 析 に は 多く の 議論 が あり まし た . 

これ まで , 鉄道 の 信号 シス テム で は フェ イル セー フ を 絶 
対 と し て , 事前 安全 性 解析 で 抽出 され た 致命 的 事象 に 対し , 
フェ イル セー フ の た め の 対 策 を 漏れ な く 綱 維 的 に 実施 する 
と いう 立場 を 取っ て きま し た . も ちろ ん , その 結果 と し て 
どの くら い 人 危険 側 故 障 率 が 残 劉 し て いる の か に つい て も 評 
価 し て いま し た が , あく まで も 念 の た めで あり , 評価 手法 
も 厳密 な か も の で は あり ませ ん で し た . その た め , 時 間 を か 
け て リス ク を 算出 する 必要 性 を 感じ な いと いう 意見 が 少な 
か ら ず あり まし た . 

また , リス ク の 頻度 を 求め る デー タ が 不足 し て いる こと , 
作業 に 多く の 仮定 を 伴う こと な ども , リス ク 解 析 を 疑問 視 
する 理由 と な り ま し た . リス ク 解 析 の 目的 は シス テム の 安 
全 度 水準 SIL) を 定め る こと に あり ます .「 SIL の レベ ル に 
応じ て 製造 工程 の 各 プ ロ セ ス に お ける 作業 の 内 容 を 規定 し , 
結果 と し て 要求 され る 安全 性 を 達成 する 」. これ が 一 連 の 機 
能 安 全 規格 の 基本 思想 で あり , SIL は 重要 な 意味 を 持ち ま 
す . と は いえ , SIL は た か だ か 4 段階 の も の で あり , 詳細 に 
計算 し た 結果 に よら な く て も , その シス テム の 使命 と 危険 
性 を 考え れ ば , シス テム に SIL を 割り 当て る こと は 十分 可 
能 で す . 例え ば ,「 ATC は 絶対 に 安全 で な けれ ば な ら な い 


COLUMN 


IEC 61508 や その 関連 規格 で は リス ク 解 析 を 重要 視 し て いま す が , 
この リス ク 解 析 の 位置 付け を 明確 に する 必要 が ある で し ょ う . 安全 
性 工学 の 分 野 で は , 原子 力 産業 な ど で 行 われ て いる 「 確率 論 的 安全 
設計 」 と , 鉄道 な どの よう に , フェ イル セー フ を 第 一 と し て あら ゆ 
る 故障 に 対し 本 質 的 に 安全 で ある こと を 求め る | 決定 論 的 安全 設計 」 
この うち , 確率 論 的 安全 設計 の 基本 と な る の 


を 分 け て 考え ます 
が , リス ク 人 解析 で す . 
確率 論 的 安全 設計 は , 考え 得る すべ て の 傷害 要因 を 列挙 し , その 
影響 を リス ク と し て 評価 し て , その 値 が 許容 で きる レベ ル に な る ま 


で 対策 を 施し ます . 網羅 的 に , ささ いな 因子 で も すべ て 抽出 し , そ 
れ ぞ れ に 対し て リス ク を 評価 する こと の 重要 性 と 有効 性 は , これ ま 
で の 原子 力 産業 界 な ど に お ける 実績 が 物語 っ て いま す . 


この ギャ ッ プ の 
大 き さ に よっ て 較 
SIL を 決定 する 較 


許容 で きる 図 眼 
リス ク 水 準 図 


安全 性 技術 適用 に 較 
よる リス ク 低 減 効果 「) 


低 較 


開発 時 図 
(リス ク 解 時 アー ンー 靖 楓 


安全 性 技術 を 導入 図 


図 8 リス ク 解 析 と 安全 度 水 演 SIL) と の 関係 

開発 対象 が 持つ リス ク を , 許容 で きる 水準 まで 低減 させ る た め に , 安全 性 技 
術 が 用 いら れる . その 隔たり が 大 きけ れ ば 大 きい ほど , より 安全 度 水準 の 高 
い 技 術 が 必要 に な る . 


の で SIL4. 自動 運転 は ATC の 下 で 機能 する の で , 安全 上 
は 制約 が 緩く , SIL3 で 十分 だ ろう 」 な ど で す . この 直感 に 
よる 値 が 詳細 な リス ク 解 析 に よる 結果 と 異な る こと は あり 
得 な いし , も し 異な っ た と し て も , 果たし て , 十分 と は 言 
えな い デ ー タ の 積み 上 げに よる 数 値 の 方 が 意味 を 持つ と 断 
言 で きる か どう か 分 か り ま せん 下 掲 の コラ リス ク 解 析 
は 安全 対策 の た め ? SIL を 割り 当て る た め ? 」 を 参照 ). 
この よう に , わが 国 は これ まで 機能 安全 規格 を 積極 的 に 
利用 し て きた と は 言え ませ ん . し か し 今後 は , 欧州 で の 動 
向 を 受け , 機能 安全 規格 を 4 0 に な る も の と 
思わ れ ま す . し か も , 認証 機関 の 介在 に より , 数 量 的 評 f 
の 要求 が 強まる 懸念 も あり ます . 0 各 
プロ セス の 作業 を 厳格 に 行う こと に より , 安全 関連 装置 の 


リス ク 解 析 は 安全 対策 の た め ? SIL を 割り 当て る た め ? 


一 方 , 近年 国際 規格 な ど で 用 いら れ て いる リス ク 解 析 は , シス テ 
ム の 安全 度 水準 SIL) を 得る た め の 手段 と し て の 人 色彩 が 強く , 確率 
論 的 安全 設計 と ば 同一 の 尺度 を 用 いて は いる も の の ) 目的 と する と 
ころ は 異な っ て いる よう に 思い ます . この こと を 抜き に し て , SIL 
を 得る た め に 詳細 に リス ク 解 析 を 実施 し て も , 少な く と も シス テム 
の イメ ー ジ が 明確 に 把握 で きる よう な 対象 に 適用 する 限り で は , 無 
駄 が 多い と 言え ます . 

開発 の 初期 段階 事前 安全 性 解析 ) で リス ク を 詳細 に 算出 する より 
も , 個々 の コン ポー ネン ト ( ハー ド ウェ ア / ソ フト ウェ ア ) に SIL が 
与え られ た 後 , SIL に 応じ た 安全 性 ライ フ ・ サ イク ル ・ プ ロ セ ス の 
順守 事項 を 厳密 に 実行 する こと の 方 が 重要 で すし , 本 来 の 規格 の 趣 
旨 で あっ た は ず で す . 
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安全 性 を 向上 させ る こと で す . 評価 の た め の 評 価 ( 
と の な いよ う , 留意 する 必要 が ある と 思い ます . 


に な る こ 


⑱ ソフ トウ ェ ア の 安全 性 と 国際 規格 

製品 に 組み 込ま れる ソフ ト ウェ ア の 安全 性 確保 と 流通 を 
考え た と き , IEC 61508 に 代表 され る 規格 の 方 法論 は 合理 
的 で あり , ほか に 取っ て 代わ り 得る 方 法 は な いと も 思わ れ 
まず 下 掲 の コラ 開発 プロ セス を 規定 する IEC 61508 は 
調達 側 に 朗報 」 を 参照) し か し , セー フ テ ィ ・ ク リティ カ 
ル ・ シ ステ ム 用 の ソフ ト ウェ ア に 関す る 規格 と いう 視点 で 
眺め る と , まだ まだ 不足 な 点 も 実感 され ます . その 主 な ポ 
イン ト を 以下 に 示し ます . 
1) ソフ ト ウェ ア へ の SIL の 割り 当て 方 法 が 不明 確 

シス テム の SIL が 算出 され た 後に , ソフ トウ ェ ア に ど 
よう に し て SIL を 割り 当て る か の 方 法論 が まだ あい まい と 
言え ます . 
2) ソフ ト ウェ ア 

明確 

シス テム に 組み 込ま れる ソフ ト ウェア ・ モ ジュ ー ル に も , 
安全 性 へ の か か わり 具合 に は 差 が あり ます . ソフ トウェア 
( モジ ュー ル ) の 独立 性 に 対す る 吟味 を 踏ま えた 上 で , 個々 
の モジ ュー ル に 対す る SIL の 割り 当て 方 法 を 明確 に する 必 
要 が あり ます . 
3) 過去 の 経験 に 学ぶ サイ クル が 確立 され て いな い 

ソフ トウ ェ ア に 限る も の で は あり ませ ん が , 安全 性 手法 
の 多く は , 過去 の 事故 を 教訓 と し て 確立 し て き て いま す . 
過去 に ソフ トウ ェ ア が 引き 起こ し た 事故 を 見 て も , そこ か 
こと は 数 多く あり ます . IEC 61508 に は , この 
よう な 事例 に 学び つつ 発展 させ て いく と いう 視点 や 方 法 
が 不足 し て いま す . 


・ モジュール へ の SIL の 割り 当て 方 法 が 不 


ら 学ぶ べき 


4) シス テム と し て の 安全 性 を 網羅 し きれ て いな い 

シス テム の 安全 を 確保 する に は , 物 を 作る と き ( 開発 ) だ 
け で な く , 運用 や 保全 と いっ た ヒュ ー マ ン ・ フ ァ ク タ に か 
か わる こと も 重要 で す . IEC 61508 ば 計画 か ら 廃 棄 に 至 
る まで の 全 ラ イフ ・ サ イク ル を 通じ た 規格 で ある 」 と の 建 
前 を と っ て いま す が , 実態 は , 物 作 り の 規格 に と ど ま っ て 
いる よう に 思わ れ ま す . 
5) SIL 算出 に 用 いる 具体 的 な デー タ が 不足 し て いる 

安全 度 水 塗 SIL) を 重要 な 尺度 と し て いる も の の , その 
根拠 と な る 発生 頻度 な どの 算出 に 用 いる た め の 具 体 的 な デ 
ー タ が 不足 し て いま す . 


4. 規格 が も た ら す 国際 競争 へ の 影 | 


IEC 61508 な どの 国際 規格 が ソフ ト ウェ ア の 安全 性 に 対 
し て 果たす 役割 は , も ちろ ん 衣 定 的 に 評価 され る も の で す . 
た だ , 規格 が も た ら す も う 一 つの 側面 に つい て も 触れ て お 
か な いと , 宰 根 を 残す こと に な る か も し れ ま せん . それ は 


産業 界 に お ける 国際 競争 と いう 面 で 見 た と き の , 規格 の 果 
た す 役 割 で す . 
つま り ,「 国際 規格 に の っ と っ て いる こと が 認証 され た 


製品 」 の 購入 を 排除 する こと が 困難 で ある と 同様 に ,「 国際 
規格 に の っ と っ て いる こと が 認証 され て いな い 製 品 」 の 購 
入 排 除 が 合法 的 に 可能 で ある , と いう こと で す . この 原則 
の 下 で 国際 競争 が 行わ れ た と き , わが 国 の 産業 界 に どの よ 
うな 影響 が ある か は 大 き な 問 題 で す . 


人 @ 国際 規格 認証 品 と 日 本 の 物 作り 
わが 国 の 物 作 り は , 出来 上 が っ 物 」 で 勝負 する と いう 
文化 が 支配 し て いま し た . か つて の 電子 機器 が そう で し た 


we リド 目 開発 プロ セス を 規定 する IEC 61508 は 調達 側 に 朗報 


IEC 61508 は 安全 関連 シス テム の ソフ ト ウェ ア 開 発 の プロ セス を 
規定 し て いま す が , これ は 製造 面 に 効果 を も た ら す の みな ら ず , 実 
は , 安全 関連 シス テム を 調達 する 側 に と っ て も 意義 の ある こと で 
す . これ まで , 機能 仕様 に 従っ て 作ら れ た ソフ ト ウェ ア の 良し あし 


を どの よう に し て 評価 する の か は , 調達 側 に と っ て 厄介 な 問題 で し 


た . 安全 に か か わる 問題 だ け に 
て よい は ず が あり ませ ん . 
調達 後に 万 が 一 事故 が 発生 し た 場合 に は , 誰が 責任 を 取れ ば よい 


こ , 複数 の 製品 を コス ト の み で 評価 し 


の 事前 検査 で 潜在 バグ が 顕在 化す る ほど 品質 は 低く ない は ず で す . 
と する な ら , 購入 を 決定 し た 調達 者 の 責任 を 問う こと も で き な そ う 
で す . 

この よう な 問題 に 対し , IEC 61508 の 世界 で は , どの よう な 作り 
方 を し た の か , また その 作り 方 は 妥当 で ある か どう か が 第 三 者 に よ 
っ て 評価 され ます . その た め , その 結果 を も と に し て , 調達 側 で 評 
する こと も で きる で し ょ う . 審査 や プロ セス が 形骸 化し て いた な 


の で し ょ うか . 安全 に か か わる ソフ トウ ェ ア で すか ら , 可能 な 範 


f 
ら , それ は 製造 側 と 認証 者 の 責任 と すれ ば よい の で , それ に つい て 
調達 側 で 悩む 必要 は な く な り ま す . 
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組み 込み シス テム o 幅 頼 性 と 安全 ' 性 を 高め る 


we 目安 全 へ の 投資 


ATS や ATC な ど と いっ た , 人 間 の ミス に よる 事故 を 未然 に 防ぐ 
た め の 装 置 機械 化 の 仕組 み ) が , 安全 性 の 向上 に 大 きく 頁 献 し て 
きま し た . し か し , 機械 化 に も 限界 が あり ます . 設計 や 工事 実施 と 
いっ た 業務 は まだ まだ 人 間 に 依存 せ ね ば な ら ず , その 領域 で の ミス 
に よる 事故 も 絶え ませ ん . 

JR 東日本 は , 人 間 と 人 間 の 注意 力 に 依存 し て 行わ れる 現場 工事 


マン ・ エ ラー に 起因 する 事故 を 減少 させ よう と し て いま す . 

この よう な 取り 組み を 含め , 安全 施策 を 推進 する に は 多大 な 資金 
が 必要 と な り ま す . JR 東日本 の 2006 年 度 の 設備 投資 計画 に よる と , 
安全 対策 に 前 年 度 よ り 3 割 約 340 億 円 ) 増 の 1490 億 円 が 投資 され 
る と いい ます . 同年 度 の 設備 投資 の 総額 は 3300 億 円 で すか ら , 安 
全 対 策 に 5 割 近く を 投資 する こと に な り ま す . 羽越 線 の 突風 に よる 


や 現場 作業 に 情報 技術 を 導入 する こと で , 事故 防止 を 図る 取り 組み 
を 進め て いま す . 作業 の 許可 や 終了 入力 と 列車 の 運転 を リン ク さ せ 
た り , 作業 員 に 自ら 列車 の 進路 を 要求 させ た りす る こと で , ヒュ ー 


し , 今日 の 自動 車 産業 も , 製品 に 対す る ユー ザ の 信頼 が 競 
争 力 を 支え て いる 点 で は 同じ で し ょ う . 使っ て も ら っ て , 
その 信頼 性 や 機能 性 の 素晴らし さ を 実 感 し て も ら え れ ば お 
の ず と 勝負 が つく , と いう 考え 方 で す . 金 型 や 微細 加工 と 
いっ た 技術 は 日 本 の 伝統 産業 と も 言え る も の で 他国 を 圧倒 
し て いま す が , 決し て 形式 化 さ れ た 製造 プロ セス や , ドキ 
ュ ユメ ント の 素晴らし さ が 基 本 に ある わけ で は あり ませ ん . 

コン ピュ ー タ を 用 いた 信号 装置 も 同様 で , プロ セス より 
も 実体 が 重視 され て きま し た . コン ピュ ー タ 式 信号 装置 の 
開発 に は , 発注 側 の 技術 者 と 製造 者 の 技術 者 が 共同 で 参画 
し , 徹底 し た 議論 と 検証 を 積み 重ね て きま し た . 従っ て , 
その 製品 が どの よう な も の で あり , 安全 性 も どの よう な レ 
ベル で ある か は , 双方 と も 熟知 し て いま し た し , 責任 も 持 
ち 得 て いま し た. 

し か し , 国際 規格 が 描く 物 作 り の 世界 は ,「 製造 プロ セ 
ス の 妥当 性 と , その 認証 を も っ て 評価 し よう 」 と いう , 全 
く 異質 な も の で す . その フレ ー ム の 原型 は , 品質 保証 に 関 
する 規格 ISO 9000」 に 見 る こと が で きま す . 


@ ISO 9000 を 戒め と せよ 

か つて , わが 国 の 工業 製品 は 圧倒 的 な 品質 の 良さ で 世界 
を し の いで いま し た . 価格 が 少々 高く て も わが 国 の 製造 刻 
印 が ある 製品 は 売れ る , と いう 事態 も 起こ り , や が て それ 
が 貿易 摩擦 を 引き 起こ す 要 因 に も な り ま し た . その よう な 
高 品質 の 製品 を 生み 出し た 背景 に は , QC quality control) 
や TQG total quality control) と いう 製造 現場 で の 品質 管 
理 運動 が 有効 に 機能 し て いた こと が 挙げ られ ます . 優秀 な 
労働 力 と 安定 し た 雇用 に 支え られ た 現場 か ら の 品質 改善 運 
動 は , 契約 社会 の 欧米 は も ちろ ん , 他国 で は な か な か まね 
が で きず , 垂 ぜ ん の 的 と も な っ て いま し た. 


事故 や JR 西日本 福知山 線 の 事故 を 踏まえ, さら な る 安全 性 向上 を 
図 ろ うと いう 取り 組み で す . 


し か し , ISO 9000 が この 枠組 み を 津波 の よう に 月 壊さ せ 
まし た . ISO 9000 の 世界 で は , 優れ た 品質 の 証し を 製造 プ 
ロ セ ス の 水準 に 求め る こと に な っ た の で す . すなわち ,「 品 
質 が 保証 され た 製品 を 製造 する た め に 生産 現場 で 求め られ 
る プロ セス 」 を 規定 し ,「 その プロ セス で 製造 され て いる 証 
し (evidence) と 第 三 者 に よる 認証 を 品質 保証 の より どこ ろ 
と する 」, と いう 枠組 み を 作り 上 げた の で す . ISO 9000 を 
取得 し て いる 工場 か ら の 製品 を 拒む こと は 貿易 障 と 見 な 
され る し , 取得 し て いな い 工 場 か ら の 製品 は , た と え 良 品 
で あっ て も 排除 で きる の で す . 

わが 国 の 製造 業界 は , こぞって ISO 9000 の 資格 認証 に 
動き 出し , 従来 の TQC は いつ の 間 に か 現場 か ら 姿 を 消し 
まし た . リコ ー ル が 相次ぐ わが 国 の 現状 を 見 れ ば , 事 の 重 
大 さ が 分 か る と 思い ます . 

し か も , 製品 安全 に 対す る 認証 機関 や その 仕組 み は , 欧 
米 で は 産業 と し て 成り 立つ ほど 成熟 し て いま す . わが 国 が 
明確 な 戦略 を 持た ず に 国際 規格 時 代 に 突入 する こと は , あ 
まり に も リス ク が 大 きす ぎ ま す . この 事実 を し っ か り 認識 
する べき で し ょ う . 
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